Сертификация средств защиты информации

Средства защиты информации (сокращенно – СЗИ) представляют собой перечень технических, программных, криптографических устройств и приспособлений и их систем, которые обеспечивают информационную безопасность. Такое оборудование позволяет предотвратить утечку данных и защитить их от несанкционированного доступа. Речь идет о следующих типах устройств:

• технических – предназначены для маскировки и перекрытия каналов утечки сведений – к ним относят пожарную сигнализацию, сетевые фильтры, генераторы шума,
• организационных – с их помощью осуществляют прокладку кабельных систем, разработку правил функционирования предприятия;
• программных – используют в целях шифрования сведений, идентификации пользователя, с их помощью осуществляется контроль доступа, удаление временных файлов – к ним относят перечень антивирусов, межсетевых экранов, криптографических систем;
• смешанных.

Для законного изготовления, импорта и реализации указанной продукции предпринимателю необходимо пройти процедуру сертификации.

Главные нюансы проверки соответствия СЗИ

Особенности и порядок проведения оценки устройств, которые используют для обеспечения информационной безопасности, определены согласно приказу ФСТЭК № 55 от 03.04.2018. Данным нормативным актом утверждено положение о системе сертификации СЗИ.

Обязательная оценка осуществляется в отношении следующих средств:

• применяемых в целях противодействия иностранной разведке;
• техзащиты сведений, данных;
• применяемых в целях обеспечения безопасности информационных технологий.

Обратите внимание! Если речь идет об устройствах и приспособлениях для защиты сведений, являющихся государственной тайной, то производители товаров этой разновидности должны получить лицензию ФСТЭК (ранее этот государственный орган назывался Гостехкомиссия РФ).

По итогам оценки СЗИ им присваивается соответствующий уровень доверия. Их насчитывают 6, где самым высоким является первый, а самым низким шестой. Первые три используются в информационных системах, в которых осуществляется обработка данных, связанных с государственной тайной.

По итогам оценочных мероприятий выдается сертификат продукта, обеспечивающий информационную безопасность. Указанный документ свидетельствует о соответствии устройств установленным стандартам и возможности их эффективного использования по назначению.

Какие сведения включает сертификат соответствия СЗИ?

Документ содержит информацию о:

• заявителе – включают название и адресные данные;
• техническом устройстве – его названии, уровне доверия, области применения;
• наименовании и адресе производителя;
• результатах тестирования образцов в аккредитованном учреждении;
• дате выдачи и регистрационном номере.

Сертификат на средства защиты информации выдается на бланке установленного образца на период действия от 1 года до 5 лет.

Этапы сертификации СЗИ

Действующее законодательство (а именно, приказ ФСТЭК № 55) определяет требования к порядку проведения оценочных мероприятий в отношении данного оборудования.  Согласно этому нормативному акту сертификация средств защиты информации в СПБ состоит из следующих стадий:

1. Предприниматель подает заполненную заявку в сертификационный центр.
2. Специалистами осуществляется идентификация продукции и уточняются детали проведения процедуры.
3. Заявитель формирует требуемый комплект бумаг и сведений (состоит из ГОСТов, технических условий, конструкторской и эксплуатационной документации), осуществляет подготовку образцов.
4. Проводится исследование техсредств в условиях аккредитованной лаборатории, по итогам испытаний составляется протокол.
5. Оформляется сертификат на бланке установленной формы, осуществляется его регистрация в едином реестре.
6. Готовый документ выдают на руки заявителю – его можно получить в офисе компании в Санкт-Петербурге или воспользоваться услугами курьера.

В зависимости от типа СЗИ для законного выпуска в обращение также потребуется оформить разрешительные документы по действующим техрегламентам ЕАЭС. Для начала идентифицируют продукцию, и определяют, какой регламент содержит требования к ее безопасности. Оценка соответствия проводится по ТР ТС 004/2011, 020/2011, 043/2017 и иным.

Обратите внимание! Для импорта и экспорта устройств с криптографическими (шифровальными) элементами предпринимателю потребуется получить нотификацию ФСБ.

Какие документы предоставляются для проведения сертификационных мероприятий?

Сертификация СЗИ осуществляется при условии предоставления следующего пакета бумаг:

• техдокументации, согласно которой выпускается техника – это может быть межгосударственный или национальный стандарт, ТУ или СТО;
• паспорта;
• эксплуатационного руководства;
• протоколов с результатами испытаний – при наличии;
• договора о поставке вместе с товаросопроводительными документами – для импорта;
• заверенных копий учредительных документов заявителя и иного.

Кому нужен добровольный сертификат на средства защиты информации?

Если устройства не включены в перечень техсредств, подлежащих обязательной оценке, то предприниматель может подтвердить их качество по собственной инициативе. Добровольная оценка проводится в действующей системе, по ее итогам выдается добровольный сертификат соответствия на средства защиты информации. Указанный документ необходим предпринимателям, заинтересованным в развитии бизнеса и получении следующих конкурентных преимуществ:

• укрепления доверия потребителей и контрагентов;
• привлечение инвестиций на развитие компании;
• возможность принимать участие в тендерах и коммерческих торгах;
• рост объемов продаж и прибыли;
• формирование положительной репутации.

Также у изготовителя или импортера товаров, которые не подлежат обязательной оценке, имеется возможность получить отказное письмо.

Для оформления разрешительных и добровольных документов воспользуйтесь услугами специалистов центра «СПБ ЦСМ»! Консультации по всем вопросам бесплатные!